Decyzja o przejściu strefy root na DNSSEC jest już przesądzona. Komitet Internet Architecture Board tak pisał w liście do NTIA: „DNSSEC jest jedynym standardowym mechanizmem, który może zabezpieczyć dane DNS przed sfałszowaniem i zakłóceniem ich w czasie transmisji przez Sieć”.

Do tej pory kwestie zarządzania DNSSEC pozostawały dość niejasne – nie wiadomo było, kto będzie finalnie odpowiedzialny za zarządzanie kluczami najwyższego poziomu oraz kluczem głównym (ang. Master Key). Przez długi czas ICANN i VeriSign były przekonane, że to właśnie im powinien przypaść ten przywilej. Za VeriSignem stało doświadczenie i posiadanie całej infrastruktury technicznej, za ICANN-em zaś koncentracja kwestii związane z weryfikacją i podpisywaniem stref w jednym miejscu.

Finalnie ICANN i VeriSign zdołały osiągnąć porozumienie i przedstawiły wspólny plan podpisania strefy root. Już od 1 grudnia br. serwery DNS mają wykorzystywać DNSSEC wewnętrznie, zaś w styczniu ruszy serwowanie zabezpieczonych odpowiedzi ze strefy na cały świat – dzięki czemu w całym systemie nazw domen powstanie nieprzerwany łańcuch zaufania przy rozwiązywaniu internetowych adresów.

Root serwery będą przechodziły na system podpisanych odpowiedzi stopniowo, tak aby problem z jednym z nich nie „rozłożył” całego Internetu. Kolejno zmieniane będzie oprogramowanie resolwerów L, J, M, I, D, K – aż do A, które zostanie zmienione to na samym końcu. Inżynierowie z IETF zwrócili uwagę na to, że taki plan nie jest najlepszy – umacnia mit o tym, że serwer A jest jakiś „specjalny”. Kiedyś faktycznie pierwsze zapytania do strefy root zaczynały się od A, ale już od dawna tak nie jest. Pozostawienie A na sam koniec jest prawdopodobnie jednak przejawem ostrożności – pozwalającym na bezpieczne wycofanie podpisanych stref w razie problemów.